Is my Danish company in scope of NIS2-loven?

If you operate in energy, transport, banking, financial market infrastructure, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, public administration, space, postal og courier services, waste management, manufacture, production og distribution of chemicals, food production, manufacturing, digital providers, or research — og you exceed the medium-enterprise threshold (50 staff or €10M turnover) — you are likely an essential or important entity under NIS2-loven. We run a free in-scope assessment.

How fast must we notify CFCS of a significant incident?

An early warning within 24 hours of becoming aware, a full notification within 72 hours, og a final report within one month. Our SOC drafts og submits each notification automatically when triggers are met — including the CSIRT.dk technical hand-off.

Where does our data sit during SOC monitoring?

Telemetry og case data remain inside the EEA, processed across our Stockholm og Zoetermeer SOCs. No transfer to third countries without a documented Article 46 safeguard — a requirement we see flagged consistently by Datatilsynet on cross-border processing audits.

Lokal tilstedeværelse · Danmark

Cybersikkerhedsservices i Danmark

Cybersikkerhed · NIS2 · CFCS · Datatilsynet · DORA

Klar til NIS2-loven, DORA-aligned — drevet fra vores EU-SOC'er.

Danske virksomheder befinder sig i centrum af et af de mest digitalt modne regulatoriske miljøer i EU. Lov om cyber- og informationssikkerhed (NIS2-loven) — Danmarks NIS2-implementering vedtaget i 2025 — udvider markant kredsen af regulerede aktører ud over de tidligere NIS-rammer, idet Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste fører tilsyn med væsentlige og vigtige enheder på tværs af 18 sektorer. Datatilsynet er blandt de mest aktive GDPR-tilsynsmyndigheder i Nordeuropa, Finanstilsynet fører tilsyn med finansielle enheder omfattet af DORA, og Danmarks nationale strategi for cyber- og informationssikkerhed 2022–2024 fastlagde de grundlæggende forventninger til modenhed. Fra vores SOC'er i Stockholm og Zoetermeer leverer vi detektion 24×7 og CFCS-tilpasset hændelsesrapportering med telemetri, der holdes inden for EEA — et centralt krav for danske offentlige indkøbere og CFCS-anmeldte enheder.

Regulatorisk landskab

Det danske regulatoriske landskab, vi dækker

NIS2-loven (Lov om cyber- og informationssikkerhed)

Dansk implementering af NIS2; risikostyring, kontroller i forsyningskæden, tidlig varsling inden for 24 timer og hændelsesunderretning inden for 72 timer til CFCS for væsentlige og vigtige enheder.

CFCS-tilsyn

Center for Cybersikkerhed under Forsvarets Efterretningstjeneste — kompetent myndighed for NIS2 i Danmark, udsender sektorvejledninger og driver den nationale CERT (CSIRT.dk).

DORA

Digital Operational Resilience Act, der gælder for danske banker, forsikringsselskaber, betalingsinstitutter og IKT-tredjepartsleverandører; under tilsyn af Finanstilsynet.

Databeskyttelsesloven (GDPR)

Databeskyttelsesloven oven på GDPR; under tilsyn af Datatilsynet med underretning om brud inden for 72 timer og bøder på op til 4 % af den globale omsætning.

Sundhedsdataloven

Sundhedsdataloven, der regulerer behandling af patient- og sundhedsdata — yderligere regler om samtykke, logning og adgangsstyring oven på GDPR.

Bekendtgørelser fra Finanstilsynet

Sektorspecifikke bekendtgørelser for den finansielle branche — IKT-outsourcing, operationel risiko og forventninger til hændelsesrapportering ud over DORA.

~1,400

Enheder omfattet af NIS2-loven (estimeret)

Kilde: CFCS

24 timer

CFCS-frist for tidlig varsling

Kilde: NIS2-loven §40

DKK 10M (Danske Bank, 2023)

Datatilsynets hidtil største GDPR-bøde

Kilde: Datatilsynet

Finansielle tjenester og FinTechEnergi & forsyningskæde for vindkraftMaritim, havne & logistikSundhedsvæsen, life science og medicinalindustri

Sådan samarbejder vi med danske virksomheder

AI-sikkerhed & Guardrails

Klarhed til EU AI Act for danske AI-udrulninger i den offentlige sektor, ledelsessystemer efter ISO 42001 samt adgangs-, data- og guardrail-kontroller tilpasset Datatilsynets AI-vejledning.

Læs mere

Applikationssikkerhed

API- og webapplikationstest for danske digitale banker, FinTech-udfordrere og SaaS-eksportører — coaching i sikker SDLC tilpasset Finanstilsynets forventninger til IKT-outsourcing.

Læs mere

Cloud-sikkerhed

CSPM, CIEM og zero-trust-arkitektur til AWS-/Azure-/GCP-miljøer med datalagring inden for EEA — designet til væsentlige operatører under NIS2-loven og workloads omfattet af Sundhedsdataloven.

Læs mere

SOC 24×7

Detektion 24×7 fra Stockholm og Zoetermeer med CFCS-tilpasset hændelsesrapportering (overdragelse til CSIRT.dk) og dokumentationsspor til Finanstilsynet for finansielle enheder.

Læs mere

GRC

Programleverance inden for NIS2-loven, DORA, ISO 27001 og Sundhedsdataloven — gapanalyse, kontrolmapping og revisionsklarhed over for CFCS.

Læs mere

FAQ · Danmark

Er min danske virksomhed omfattet af NIS2-loven?

Hvis du opererer inden for energi, transport, bankvirksomhed, finansiel markedsinfrastruktur, sundhedsvæsen, drikkevand, spildevand, digital infrastruktur, IKT-servicestyring, offentlig forvaltning, rummet, post- og kurertjenester, affaldshåndtering, fremstilling, produktion og distribution af kemikalier, fødevareproduktion, produktion, digitale udbydere eller forskning — og du overskrider tærsklen for mellemstore virksomheder (50 ansatte eller 10 mio. EUR i omsætning) — er du sandsynligvis en væsentlig eller vigtig enhed under NIS2-loven. Vi gennemfører en gratis vurdering af, om du er omfattet.

Hvor hurtigt skal vi underrette CFCS om en væsentlig hændelse?

En tidlig varsling inden for 24 timer efter, at man bliver bekendt med hændelsen, en fuld underretning inden for 72 timer og en endelig rapport inden for én måned. Vores SOC udarbejder og indsender hver underretning automatisk, når udløsende kriterier er opfyldt — inklusive den tekniske overdragelse til CSIRT.dk.

Hvor opbevares vores data under SOC-overvågning?

Telemetri og sagsdata forbliver inden for EEA og behandles på tværs af vores SOC'er i Stockholm og Zoetermeer. Ingen overførsel til tredjelande uden en dokumenteret garanti efter artikel 46 — et krav, som vi konsekvent ser Datatilsynet fremhæve ved revisioner af grænseoverskridende behandling.

Tal med vores Danmark-desk

Til NIS2-loven-readiness, CFCS-hændelsesflow, DORA-bevisførelse eller Datatilsynet GDPR-tilpasning — vi svarer inden for én arbejdsdag.

Danmark

Copenhagen, Danmark
consult@gsecurelabs.com